XGEN: 错误处理在 Exchange Server 5.5 Outlook Web Access 的附件可以运行脚本

文章翻译 文章翻译
文章编号: 301361 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
有关可能出现在 Exchange 2000 Server 的类似问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
299535XGEN: 不正确的附件处理在 Exchange 2000 Outlook Web Access 可以运行脚本
展开全部 | 关闭全部

症状

Microsoft Outlook Web Access (OWA) 是 Exchange Server 5.5 和使用用户可以通过使用 Web 浏览器访问 Exchange 邮箱的 Exchange 2000 Server 的服务。但是,OWA 和 Microsoft Internet Explorer 之间交互邮件附件中存在漏洞。如果附件中包含超文本标记语言 (HTML) 代码包含脚本的脚本运行时在用户打开,而不管属于哪种附件类型的附件。因为 OWA 需要 OWA 服务器所在的位置在区域中启用脚本,此脚本可以采取措施对用户的 Exchange 邮箱。

攻击者可能利用此漏洞来构建包含恶意脚本代码的附件。攻击者随后可以向发送附件在邮件中的用户。如果用户在 OWA,脚本运行中打开该附件,并可以根据用户的邮箱采取操作,如果该脚本就是该用户在特定的情况下包括的邮件或文件夹的操作。

以下缓解因素:
  • 只可以利用此漏洞,如果用户与 Internet Explorer 结合使用 OWA。
  • 可以仅通过使用 OWA 收到的附件被利用此漏洞。一般情况下,攻击者就不能确定用户是否将通过使用 OWA,而不是 Microsoft Outlook 打开附件。
  • 利用此漏洞的攻击者的功能要求攻击者诱使用户打开来自不受信任的源的附件。最好的做法是不打开来自未知或不受信任的源的任何附件。

解决方案

现在可以从 Microsoft,获得一个受支持的修复程序,但它只用于解决本文所述的问题。它只能应用于计算机在确定存在攻击的风险。评估您计算机的物理可访问性、 网络和 Internet 连接以及其他因素,以便确定您的计算机的风险的程度。请参阅相关的 Microsoft Security Bulletin,以帮助您确定的风险程度。此修复程序可能还会接受进一步的测试。如果您的计算机的风险程度较高,Microsoft 建议您立即应用此修复程序。否则,等待下一个包含此修复程序的 Microsoft Exchange Server 5.5 服务包。

要立即解决此问题,请按照本文中稍后介绍的说明下载此修补程序,或与 Microsoft 产品支持服务联系以获取此修复程序。有关 Microsoft 产品支持服务电话号码和关于支持费用的信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
: 在特殊的情况通常会导致支持电话的费用可能会被取消如果 Microsoft 支持专业人员确定某个特定更新才能解决您的问题。将正常收取支持费用将应用于其他支持问题和不需要进行专门更新的问题。

可从 Microsoft 下载中心下载以下文件:
收起这个图片展开这个图片
Download
Download Q301361i386.exe now
发布日期: 2001 2001年 6 月 8日,

有关如何下载 Microsoft 支持文件的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器,这有助于防止未经授权的情况下对其进行更改文件上。

此修复程序的英文版应具有以下文件属性或更高版本:

组件: OWA

收起该表格展开该表格
文件的名称版本
Read.aspna

说明
  • 由于存在文件依赖性,此修复程序需要 Microsoft Exchange Server 5.5 版 Service Pack 4。
  • 您需要将此修补程序应用于运行 OWA 组件的所有服务器。使用 Exchange Server 5.5,您可以独立于 Exchange 服务器的计算机上安装 OWA 组件。如果单独安装 OWA,则需要在单独的计算机上运行此修补程序。
  • 有时,应用此修复程序后, 用户可能会收到一个空白窗口时在打开邮件使用 OWA。如果发生这种情况请查看以下知识库文章
    314532XWEB: 疑难解答在 Outlook Web 中的空消息正文

状态

Microsoft 已经确认此问题可能导致在 Microsoft Exchange Server 5.5 版中的一定程度的安全漏洞。

更多信息

有关此安全漏洞的详细信息,请参阅下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/bulletin/MS01-030.mspx

属性

文章编号: 301361 - 最后修改: 2013年10月24日 - 修订: 5.2
这篇文章中的信息适用于:
  • Microsoft Exchange Server 5.5 标准版
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange Server 5.5 Service Pack 4
关键字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbexchange550presp5fix kbfix kbqfe KB301361 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 301361
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com